В этом разделе вы можете найти основные документы, которые требуются для соответствия требованиям закона №ФЗ «О персональных данных»​.

Содержание

Политика по защите конфиденциальности частной информации

Cегодня практически каждый сайт или веб сервис, оказывающий какие-либо услуги в Рунете, будь то новостной сервис или социальная сеть, имеет дело с персональными данными (или ПДн) своих пользователей, посетителей, подписчиков. C 1 июля 2017 года ответственность за нарушение законов в области персональных данных существенно. Обновленная статья 13.11 КоАП расширилась и теперь в ней семь видов правонарушений, самый высокий штраф для юридических лиц – 75 000 рублей, который в совокупности нарушений может достигать 295 000 рублей. В России помимо административной ответственности несоблюдение законов о защите данных может повлечь также гражданскую (возмещение морального вреда) и уголовную ответственность (например, тюремное заключение).

Роскомнадзор вправе возбуждать административные дела в области персональных данных, ранее подобные дела инициировали только прокуроры. Кроме того, есть риск ресурса Роскомнадзором в случае неустранения нарушений закона о персональных данных, но только по решению суда.

Роскомнадзора показывает, что с момента начала реализации закона о локализации персональных данных (242-ФЗ) было проведено 2256 плановых проверок, 192 внеплановые проверки (по жалобе субъекта персональных данных) и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений. План проверок управления Роскомнадзора публикуют на своих сайтах.

Другие надзорные органы: Федеральная служба по техническому и экспортному контролю России (регулирует вопросы технической защиты информации в нашей стране) и ФСБ России (регулирует вопросы криптографии (шифрования). Стоит здесь отметить громкое о требовании ФСБ расшифровать переписку мессенджера Телеграм (Telegram), где пересекаются, с одной стороны, интересы частных лиц и их право на неприкосновенность частной жизни, и, с другой стороны, интересы общества, госбезопасности.

Настоящая статья поможет разобраться, как сайту или веб сервису соответствовать законодательству о персональных данных и избежать штрафов.

Какие законы?

Основные действующие в России законы, касающиеся персональных данных:

  • Страсбургская "Конвенция о защите физических лиц при автоматизированной обработке персональных данных" 1985 года, была ратифицирована в России в 2005 году.
  • Конституция РФ. Статьи 23 и 24.
  • Федеральный закон «О персональных данных» от 27.07.2006 (далее "закон о персональных данных")
  • Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006

Также существуют специальные нормы по отраслям права: КоАП РФ (статья 13.11), как упоминалось выше, Трудовой кодекс РФ (глава 14), Воздушный кодекс РФ (ст. 85.1), ФЗ Об основах охраны здоровья граждан в РФ и другие. Кроме того, разными ведомствами, например, Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности издаются подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных.

Давайте разберемся с понятиями.

Персональные данные

Законодатель отнес любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ о персональных данных). В силу такого широкого определения ПДн в законе, определить какие данные подпадают под охрану закона, а какие нет — дело не простое. Поэтому следует руководствоваться позицией регулятора — Роскомнадзора.

Пункт 2.5 Методических Роскомнадзора по уведомлению о начале обработки персональных данных раскрывает в скобках, какая это может быть информация: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных.

В любом случае, согласно закону, который имеет превалирующую силу над подзаконным актом (методические рекомендации), конкретный перечень видов персональных данных не определен, что дает правоприменительным органам волю интерпретации.

Оператор персональных данных

Любая организация, ИП и физическое лицо является оператором и, таким образом, попадает под действие закона о персональных данных, если

  • самостоятельно или с другими лицами (юридическими или физическими) организует и(или) осуществляет обработку персональных данных,
  • а также определяет цель такой обработки, состав персональных данных, действия (операции).

Проще говоря, если вы обрабатываете и контролируете персональные данные, то вы оператор.

Обработка персональных данных

Если вы совершаете хотя бы одно из нижеперечисленных действий, то вы обрабатываете персональные данные и обязаны подчиняться закону о персональных данных:

  • Сбор
  • Запись
  • Систематизация
  • Накопление
  • Хранение
  • Уточнение (обновление, изменение)
  • Извлечение
  • Использование
  • Передача (распространение, предоставление, доступ)
  • Обезличивание
  • Блокирование
  • Удаление
  • Уничтожение персональных данных.

ЧТО НУЖНО СДЕЛАТЬ ДЛЯ СОБЛЮДЕНИЯ ЗАКОНА?

1. УВЕДОМИТЕ РОСКОМНАДЗОР

Если вы обрабатываете персональные данные, как описано выше, то вы обязаны уведомить об этом Рoскомнадзор (управление Роскомнадзора по субъекту по месту регистрации в налоговом органе) до начала обработки (ст. 22 закона о персональных данных). Вы можете это сделать в письменном виде путем направления письма или на сайте Роскомнадзора (бумажную версию также необходимо выслать. После чего в течение 30 дней со дня получения уведомления Роскомнадзором вносится запись в операторов персональных данных, вы получаете выписку о внесении. По состоянию на 27 октября 2017 года 400 098 операторов зарегистрировано. Сведения об операторах и находятся в общем доступе (за исключением способов обеспечения безопасности персональных данных, более подробно об этом ниже).

Важно отметить, что вы обязаны не просто заполнить уведомление и направить его, но также выполнить то, что вы в нем написали.

Как и везде, существуют исключения. Поэтому сначала проверьте основания обработки персональных данных БЕЗ уведомления уполномоченного органа (ст. 22 закона о персональных данных). В частности, например, следующие основания для неуведомления:

  • данные, обрабатываемые в соответствии с трудовым законодательством (это не освобождает от защиты персональных данных ваших сотрудников и соблюдения трудового законодательства)
  • персональные данные были получены в связи с договором с субъектом персональных данных при условии, что (1) данные не передаются третьим лицам без согласия субъекта, (2) используются только для целей исполнения договора с субъектом
  • если данные общедоступны
  • у вас есть только ФИО клиента и др.

Если вы все-таки не попадаете под основания для исключения, то форма уведомления есть в Роскомнадзора (приложение 1). Подробнее поговорим о некоторых сведениях, которые требуется указать в Уведомлении.

Какие действия вы совершаете с персональными данными и какие способы обработки используете. В большинстве случаев обработка данных владельцами сайтов/веб сервисов является автоматизированной (есть также неавтоматизированная и смешанная). Здесь следует указать, куда передается информация: по внутренней сети оператора (то есть доступна только определенным сотрудникам), с использованием интернета или не передается вообще.

Другой важный момент касается мер для обеспечения выполнения обязанностей по закону о персональных данных.

Например:

  • Издание документов и локальных актов о порядке обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным и прочее. См. также Роскомнадзора по составлению подобных документов.
  • Технические меры, например, защита паролем, антивирусные средства Если вы используете криптографические (шифровальные) средства, то нужно указать наименование таких средств и их класс (см. ФСБ России).

Трансграничная передача

Если вы передаете персональные данные на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 закона о персональных данных), то нужно указать какие именно стране. Допускается трансграничная передача на территорию стран — членов , а также иных государств, где персональные данные адекватно защищаются и есть комплексный закон, регулирующий данную область.

Неуведомление Роскомнадзора грозит штрафом для юридических лиц от 3000 до 5000 р. (см. ст. 19.7 КоАП РФ). Такие дела рассматриваются судом (ст. 23.1 КоАП). Роскомнадзор вправе потребовать уточнения данных путем направления вам письма с перечнем недостающих сведений (ст.22 закона о персональных данных и п.3.3. Рекомендаций Роскомнадзора). В случае каких-либо изменений информации, которую вы указали в уведомлении, то требуется в течение 10 дней с момента возникновения изменений сообщить об этом управление Роскомнадзора (форма есть в приложении 2 к Рекомендациям Роскомнадзора).

2) ХРАНИТЕ БАЗУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В РОССИИ

С 1 сентября 2015 года хостинг, база, центр обработки персональных данных должны располагаться на территории России (ст.16 закона об информации). И несмотря на то, что закон о “локализации персональных данных” назвали законом ручного применения и под его раздачу недавно попала лишь сеть профессиональных контактов , не исключено, что похожее может произойти и с и рядом других крупных сервисов, после чего правоприменение по подобного рода делам может развернуться куда шире. Закон одинаково распространяется и на иностранные организации, которые обрабатывают персональные данные россиян и чьи услуги, сервисы направлены на пользователей в России. Если сбор данных осуществляется не в ходе функционирования крайне чувствительных веб-сервисов (тематических форумов, сайтов знакомств, UGC-ориентированных ресурсов), на которых организатору сервиса надлежит обеспечить максимальную безопасность данных своих пользователей, то размещение баз данных на серверах внутри страны способно минимизировать риски претензий Роскомнадзора в связи с несоблюдением закона. Однако решение об этом следует принимать в индивидуальном порядке, оценивая тематику, функционал и аудиторию ресурса. Пока же мы видим, что мелкие и средние веб-сайты, сервисы и приложения россиян в части соблюдения “закона о локализации” ведомство интересуют не сильно.

Адрес местонахождения баз данных необходимо сообщить Роскомнадзору. Если Вы все таки решили локализовать данные, то обратитесь к вашему хостинг провайдеру для получения адреса расположения вашего сервера. можно ознакомиться более подробно с темой локализации данных в России.

3) СОЗДАЙТЕ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ И ПОЛУЧИТЕ СОГЛАСИЕ НА ОБРАБОТКУ

Согласно позиции РКН, в отношении использования веб-ресурсов не требуется рукописного согласия на обработку персональных данных, однако критически важным является наличие на сайте Политики обработки персональных данных либо Политики конфиденциальности с положениями о порядке сбора, хранения и обработки ПДн. Наиболее известен из практики о привлечении к адм. ответственности юридической компании за отсутствие на сайте политики обработки персональных данных. Поэтому наличие подобной политики на сайте во многих случаях считается уже достаточным, чтобы соответствовать закону.

Утвердите приказом политику конфиденциальности, разместив ее на сайте, (мобильном приложении, если имеется) так, чтобы пользователю было не трудно найти ее, например, в футер. В политике нужно отразить категории персональных данных, виды обработки, цели обработки, меры защиты, какие действия вы выполняете с данными. Уведомляйте посетителей сайта, что их персональные данные обрабатываются в целях функционирования сайта и получайте их согласие на обработку. Можно посмотреть, как это делают другие сайты. Например, в своей политике конфиденциальности указал, что использование сервисов является согласием на обработку: “Использование Сервисов Яндекса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов”.

Похожее положение в политике конфиденциальности : “При регистрации на Интернет-ресурсе заполняя размещенную на Интернет-ресурсе Рамблера регистрационную форму и предоставляя свои персональные данные Рамблеру, Пользователь подтверждает, что он достиг возраста 14 лет и что он принимает настоящий Регламент и дает согласие на обработку своих персональных данных Рамблеру в соответствии с Политикой в отношении обработки персональных данных в Рамблере и сведениями о реализуемых требованиях к защите персональных данных, а также изложенными в ней правилами обработки персональных данных”.

Таким образом, в регистрационные и иные формы заполнения на вашем сайте, можно под кнопкой добавить следующую фразу со ссылкой на правила пользования сервисом, куда вы также включаете политику конфиденциальности. Такой подход также и позицией Роскомнадзора.

В июле 2017 Роскомнадзор опубликовал Методические по составлению документа, определяющего политику оператора в отношении обработки персональных данных. При написании Политики на сайте, необходимо руководствоваться этими рекомендациями.

Несмотря на то, что политика конфиденциальности является юридическим документом, вы должны обеспечить, чтобы текст был легко понятен и точен. Нежелательно использовать скрытые предложения в тексте или делать его слишком расплывчатым, поскольку это может повлиять в общем на авторитетность и репутацию вашего сервиса.

4) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ ПУНКТ О COOKIES

Cookie-файлы — небольшие информационные маркеры (копии веб-страниц, картинок, видеороликов и другого контента, просмотренного с помощью браузера), которые ваш сайт может записывать на жесткий диск компьютера посетителя. Благодаря cookies ваш сайт может:

  • узнавать пользователей и их предпочтения
  • подстраивать веб-контент, отображаемый на вашем сайте, под отдельных пользователей
  • собирать информацию о том, как посетители используют ваш сайт
  • помогать Вам совершенствовать ваши продукты и сайты

О кукис на английском: www.allaboutcookies.org

В российском законе нет понятия cookies, каких-либо определенных специальных требований в их отношении, они формально не признаются персональными данными. Нет необходимости российскому сайту брать отдельное согласие посетителя путем нажатия кнопки при входе на его сайт, как некоторые сайты это делают. Дело в том, что иностранные компании, которые подчиняются юрисдикциям других государств, обязаны независимо от местонахождения пользователей, получать согласие на использование файлов cookies. Например, в Евросоюзе веб-сайт должен получить разрешение от посетителей прежде, чем записывать свои cookies на их компьютеры.

Однако, лучше себя обезопасить, ведь определение персональных данных расплывчато, а Роскомнадзор не дремлет с проверками. Без каких-либо всплывающих окон и кнопок можно просто написать в политике конфиденциальности, что под персональной информацией пользователя также понимаются: “IP-адрес хоста, данные файлов cookie, информация о браузере пользователя, местоположение”. Как компании формулируют пункты о cookies, вы также можете посмотреть в их политиках, размещенных на официальных веб-ресурсах.

5) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ EMAIL И АДРЕС, КУДА ПОЛЬЗОВАТЕЛЮ МОЖНО ОБРАТИТЬСЯ С ЗАПРОСОМ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Например, об их удалении. Не игнорируйте письма с подобными запросами и удаляйте персональные данные по первому требованию, если это возможно сделать без болезненного изменения структуры и контента сайта. Ведь чья-то жалоба может стать поводом для внеплановой проверки Роскомнадзором и(или) судебной тяжбы.

6) НАЗНАЧЬТЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обязательным требованием является назначение соответствующим приказом ответственного за организацию обработки данных (ст.22.1 закона о персональных данных). Это может быть как физическое, так и юридическое лицо (по договору). Такой человек (или компания) должен следить за изменениями в законодательстве о персональных данных, информировать, обучать, обновлять политику конфиденциальности и иные акты о персональных данных.

7) ПРИМИТЕ ТЕХНИЧЕСКИЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Меры по обеспечению безопасности персональных данных при их обработке установлены в ст.19 закона о персональных данных. Их вы также указываете в уведомлении Роскомнадзора.

Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных и требования по обеспечению безопасности. Эти требования содержатся в Правительства №1119 от 01.11.2012. Во исполнений указанных положений появился следующий приказ: Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Вы можете принять меры как самостоятельно, так и с привлечением юридического лица (или ИП), имеющего лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Существует множество организаций, предлагающих программные комплексы, IT решения, средства защиты персональных данных. Если вы нанимаете организацию и используете разработанные ею средства защиты, то удостоверьтесь, что они прошли в установленном порядке процедуру оценки соответствия (сертификация проводимая ФСТЭК).

Вы также можете сами получить лицензию ФСТЭК. Это открывает возможности самим оказывать услуги в области защиты данных, в том числе для государственных организаций.

Применение сертифицированных средств защиты или получение лицензии ФСТЭК — это дорогостоящий процесс и времязатратный, который чаще всего позволяют себе большие компании. Но можно рассматривать это как инвестицию, ведь подтверждается надежность и безопасность персональных данных клиентов и, таким образом, возрастает привлекательность вашего бизнеса.

Все же нет обязательного требования привлекать специалистов — подрядчиков, можно это сделать самостоятельно. Все зависит от модели вашего бизнеса, сложности баз данных, процессов и финансовых возможностей.

Несколько советов по принятию мер безопасности персональных данных самостоятельно:

  • Обследуйте свои информационные системы персональных данных, поймите, где именно и какие данные располагаются, как они двигаются и циркулируют, кто имеет к ним доступ
  • Классифицируйте свои информационные системы персональных данных (есть разные факторы классификации, например, расовая и национальная принадлежность, численность субъектов). Чем выше класс, тем серьезнее должна быть защита
  • Постройте модель угроз
  • Составьте список мер защиты и выполняйте их на основе классов информационных систем (включить в уведомление Роскомнадзора перечень таких мер)
  • Можете также привлечь сторонние организации частично по каким-то отдельным задачам. Определите степень привлечения.
  • Обучайте своих технических сотрудников
  • Проводите проверку эффективности мер самостоятельно или с привлечением подрядной организации не реже 1 раза в 3 года (п.6 Приказа ФСТЭК)

Поделитесь материалом с друзьями

ВИДЕО ПО ТЕМЕ: Совет юриста — Персональные данные

Персона́льные данные (ПД) или личностные данные — любые сведения, относящиеся к предоставляемые таким образом, структурированы, чтобы их можно было связывать и повторно использовать третьими сторонами.

ВИДЕО ПО ТЕМЕ: Согласие на обработку персональных данных детей, юридические gto-sport.ru информации о детях.

Персональные данные: информация для владельцев интернет-магазинов

Приложение к приказу и.о. ректора Института от 25.01.2018 № 12общ «Об утверждении политики в отношении обработки персональных данных»  

1. Основные термины и определения

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения

2.1. Настоящая Политика в отношении обработки персональных данных в (далее — Политика) ФГБОУ ВО «Гос. ИР Я им. А.С. Пушкина» (далее — Оператор) является официальным документом, в котором определены общие принципы, цели и порядок обработки персональных данных, а также сведения о реализуемых мерах защиты персональных данных.

2.2. Настоящая политика распространяется на всех сотрудников оператора, включая сотрудников, работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с оператором на основании соответствующих нормативных, правовых и организационно-распорядительных документов.

2.3. Настоящая политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой политикой.

3. Правовые основания обработки персональных данных

3.1. Оператор обрабатывает персональные данные в соответствии со следующими нормативными и правовыми актами:

  • Ст. ст. 23, 24. Конституции РФ

  • Гл. 14 (Ст. ст. 86-90) Трудового Кодекса

  • ст. ст. 2,5,6, 7,9, 18-22 Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

  • ст. ст. 6, 98 Федеральный закон от 29.12.2012 N 27Э-ФЗ «Об образовании в Российской Федерации»

  • «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • Ст.86-90, ст.65 ТК РФ.

  • Постановление Госкомстата РФ от 05.01.2004г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».

  • ст. 24 Налогового кодекса РФ.
  • Федеральный закон от 24.07.2009г. №212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования».

  • Федеральный закон от 15.12.2001г. №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».
  • ст. 15, ст. 36.19 Федерального закона от 07.05.1998г. №75-ФЗ «О негосударственных пенсионных фондах».

  • Ст. 13 Федерального закона от 29.12.2006г. №255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством».

  • ст. 8 Федерального закона от 31.05.1996г. №61-ФЗ «Об обороне».

  • ст. 9 Федерального закона от 26.02.1997г. №31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации».

  • ст. 4 Федерального закона от 28.03.1998г. №53-Ф3 «О воинской обязанности и военной службе».

  • Федеральный закон от 22.10.2004г. №125-ФЗ «Об архивном деле в Российской Федерации».

  • ст. 331, 351.1 Трудового кодекса РФ.

  • Устав ФГБОУ ВО Гос. ИРЯ им. А.С. Пушкина

  • Положение об организации обработки персональных данных, обрабатываемых в ФГБОУ ВО «Гос. ИРЯ им. А.С. Пушкина»

  • Приказ Министерства образования и науки РФ от 28.10.2014 №1394 «Об утверждении перечня образовательных организаций, проводящих тестирование по русскому языку как иностранному языку»

  • Приказ Министерства образования и науки РФ от 14.10.2015 №1147 (ред. От 29.07.2016) «Об утверждении Порядка приема на обучение по образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры»

  • Согласие на обработку персональных данных

  • локально-нормативные документы Института, гражданско-правовые договоры

4. Принципы обработки персональных данных

4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

4.7. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных работников (в том числе справочники, электронные базы). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год рождения, сведения о профессии и иные персональные данные, предоставленные работником.

4.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

— осуществление видов деятельности, предусмотренных уставом;

— соблюдение нормативных правовых актов РФ, локальных актов;

— осуществление связи с субъектом;

— предоставление информации о субъекте;

— направление писем, ответов субъекту;

— подготовка, заключение, исполнение, закрытие договоров и соглашений;

— осуществление выплат;

— поощрение субъекта (премии, награды, подарки);

— предоставление льгот;

— осуществление социальных выплат и других видов социальной помощи;

— проведение медицинских осмотров;

— полное и качественное обучение (оказание образовательных услуг);

— полное и качественное выполнение работником обязанностей

— поздравление с днем рождения

— проверка знаний (экзамены, аттестация);

— исполнение оператором функции работодателя (ведение личных дел, учет работников; полное и качественное выполнение работником обязанностей; проведение служебных расследований нарушений, несчастных случаев; исчисление стажа, назначение государственной и негосударственной пенсии; предоставление компенсаций, пособий, доп. выходных дней; определение возможности выполнения трудовой функции; поздравление с днем рождения,

— ведение личных дел, учет обучающихся.

— обеспечение сохранности имущества и личной безопасности работников.

— осуществление пропускного режима

— организация научных и просветительских мероприятий.

6. Условия и сроки прекращения обработки персональных данных

6.1. Оператор прекращает обработку персональных данных в следующих случаях:

— достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;

— утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;

— предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;

— невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;

— отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;

— истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

7. Меры обеспечения безопасности персональных данных

7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

7.2. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.3. Оператор предпринимает следующие организационно-технические меры:

— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

— ограничение и регламентация состава работников, имеющих доступ к персональным данным;

— ознакомление работников с требованиями федерального законодательства и локальных нормативных документов по обработке и защите персональных данных;

— обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

— определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

— разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

— проверка готовности и эффективности использования средств защиты информации;

— реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

— регистрация и учёт действий пользователей информационных систем персональных данных;

— парольная защита доступа пользователей к информационной системе персональных данных;

— применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на съемных машинных носителях информации;

— осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

— применение в необходимых случаях средств межсетевого экранирования;

— применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

— обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

— учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;

— использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

— проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

— размещение технических средств обработки персональных данных, в пределах охраняемой территории;

— поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

8. Права субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

— подтверждение факта обработки персональных данных Оператором;

— правовые основания и цели обработки персональных данных;

— цели и применяемые Оператором способы обработки персональных данных;

— наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

8.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

8.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Заключительные положения

9.1. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

9.2. Иные права и обязанности Оператора персональных данных, определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты персональных данных.

9.3. Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Приказ и.о. ректора Института от 25.01.2018 № 12общ «Об утверждении политики в отношении обработки персональных данных» 

ВИДЕО ПО ТЕМЕ: Персональные сведения: чем грозит отказ передавать личные данные

Но не спешите пользоваться ими. Специалисты Как понять, что мои персональные данные «утекли» в открытый доступ? Кибербезопасность.

Что такое персональные данные и как их обрабатывают

Раздел I. Общие положения

1) Основные термины и определения, используемые в настоящей Политике обработки персональных данных (далее — Политике):

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу/индивидуальному предпринимателю/юридическому лицу (субъекту персональных данных);

— оператор – Акционерное общество «Центральный научно-исследовательский институт экономики, систем управления и информации «Электроника» (ОГРН 1027739065617, ИНН 7729033871), именуемое далее — АО «ЦНИИ «Электроника»;            

— Сайты — www.instel.ru, www.spravochnikrep.ru, принадлежащие АО «ЦНИИ «Электроника» самостоятельно организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2) Настоящая Политика в отношении обработки персональных данных разработана в соответствии с положениями следующих нормативно-правовых актов РФ:

— Конституции Российской Федерации, принятой всенародным голосованием 12 декабря 1993 года (с изменения и дополнениями);

— Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ (с изменения и дополнениями);

— Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменения и дополнениями);

— Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации (с изменения и дополнениями);

— Указа Президента РФ от 06 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»;

— Постановления Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановления Правительства РФ от 06 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

— Постановления Правительства РФ от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Приказа Роскомнадзора от 05 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

— иных нормативно-правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

3) Информация об Операторе:

— наименование юридического лица: Акционерное общество «Центральный научно-исследовательский институт экономики, систем управления и информации «Электроника»

(АО «ЦНИИ «Электроника»);

— ОГРН 1027739065617;

— ИНН 7729033871 / КПП 774301001;

— адрес местонахождения: 127299, РФ, г. Москва, ул. Космонавта Волкова, д.12, эт. 10, пом. XV, ком. 6.    

4) Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных в АО «ЦНИИ «Электроника» (далее по тексту – Оператор/Общество) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

5) Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами Организации к защите конфиденциальной информации.

Раздел II. Понятие и состав персональных данных

1) Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор осуществляет обработку следующих категорий персональных данных общей категории: фамилия, имя, отчество, дата рождения, месяц рождения, год рождения, место рождения, данные документов, удостоверяющих личность, адрес (регистрации по месту жительства и фактического проживания), контактные данные (номера телефонов, адреса электронной почты), реквизиты доверенности или иного документа, подтверждающие полномочия.

2) Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:

— персональные данные работников Общества — информация, необходимая Обществу в связи с трудовыми отношениями;

— персональные данные клиента (потенциального клиента), партнера, контрагента (потенциального контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом или контрагентом (потенциальным клиентом, партнером, контрагентом) Организации — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с клиентом (контрагентом).

Раздел III. Цели и случаи обработки персональных данных

1) Целями обработки персональных данных Оператором являются:

1.1) Выполнение требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами или контрагентами Оператора (далее – субъекты персональных данных), заполнению первичной статистической документации;

1.2) Исполнение обязательств по предоставлению информационных материалов.

1.3) Осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными Оператора, или третьих лиц либо достижения общественно значимых целей;

1.4) исполнения договора, одной из сторон (либо выгодоприобретателем) которого является субъект персональных данных (включая трудовые отношения с работниками Оператора, отношения с контрагентами/поставщиками и с покупателями / клиентами Оператора).

1.5) в иных законных целях

2) Обработка персональных данных в Обществе допускается в случаях:

2.1) если обработка персональных данных осуществляется с согласия субъекта персональных данных;

2.2) если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

2.3) если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

2.4) если обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

2.5) если обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

2.6) если обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;

2.7) если осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

2.8) если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.

3) Действия с персональными данными:

Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператором обработка персональных данных осуществляется следующими способами:

3.1) автоматизированная обработка персональных данных;

3.2) неавтоматизированная обработка персональных данных;

3.3) смешанная обработка персональных данных.

Раздел IV. Основные принципы обработки персональных данных

1) Обработка персональных данных возможна только в соответствии с целями, определившими их получение.

2) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3) Право доступа для обработки персональных данных имеют сотрудники Общества в соответствии с возложенными на них функциональными обязанностями.

4) При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

5) Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6). Обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7) Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Организацией, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства РФ, а также сроком действия согласия субъекта на обработку его персональных данных.

8) Обработка персональных данных в информационной системе оператора ведется с учетом обеспечения защиты прав и свобод как работников Общества так и иных лиц при обработке их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну на основе принципа законности и справедливости обработки персональных данных.

Раздел V. Меры по обеспечению безопасности персональных данных

1) При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2) Обеспечение безопасности персональных данных достигается, в частности:

2.1) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

2.2) обнаружением фактов несанкционированного доступа к персональным данным и принятием необходимых мер;

2.3) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

2.4) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.

3) Оператором предпринимаются следующие меры во исполнение обязанностей по обеспечению безопасности персональных данных при их обработке:

3.1) носители информации, содержащие персональные данные, хранятся в специальных строго контролируемых помещениях, расположенных в пределах границ контролируемых и охраняемых зон;

3.2) помещения, где хранятся персональные данные, и технические средства, с помощью которых производится обработка персональных данных, находятся под круглосуточной охраной и видеонаблюдением;

3.3) информационный доступ к техническим средствам, с помощью которых производится обработка персональных данных, реализован через автоматизированные рабочие места, защищенные от несанкционированного доступа. В зависимости от степени критичности информации разграничение (ограничение) доступа проводится программно-аппаратными средствами идентификации и аутентификации пользователей;

3.4) разграничен (ограничен) доступ персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также где хранятся носители с персональными данными;

3.5) информация доступна лишь для строго определенных работников. Производится запись (логирование) входа / выхода сотрудников в / из операционную (ой) систему(ы), работы в автоматизированных рабочих местах, доступа к базам данных;

3.6) реализована защита информации от сбоев оборудования и вредоносного программного обеспечения. Применяется система резервного копирования и восстановления информации;

3.7) при работе в сетях безопасность информации обеспечивается средствами межсетевого экранирования, созданием демилитаризованных зон, виртуальных частных сетей, защищенных каналов связи, применением защищенных протоколов передачи информации и программно-аппаратных средств шифрования информации.

Раздел VI. Права субъекта персональных данных

Субъект персональных данных имеет право:

1) На получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1.1) подтверждение факта обработки персональных данных оператором;

1.2) правовые основания и цели обработки персональных данных;

1.3) цели и применяемые Оператором способы обработки персональных данных;

1.4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

1.5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

1.6) сроки обработки персональных данных, в том числе сроки их хранения;

1.7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями и дополнениями);

1.8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

1.9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;

1.10) иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» или другими федеральными законами (с изменениями и дополнениями).

2) Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3) На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.

4) Обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных.

Раздел VII. Обязанности Оператора

Оператор обязуется:

1) Принимать необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2) Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

3) В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определять актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

4) При выявлении актуальных угроз применять необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:

4.1) определение угроз безопасности информации, содержащей персональные данные, при ее обработке;

4.2) применение организационных и технических мер по обеспечению безопасности информации, содержащей персональные данные, при ее обработке;

4.3) оценку эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных;

4.4) учет машинных носителей информации, содержащей персональные данные;

4.5) обнаружение фактов несанкционированного доступа к информации, содержащей персональные данные, и принятие мер;

4.6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4.7) установление правил доступа к информации, содержащей персональные данные, обеспечение регистрации и учета всех действий, совершаемых с информацией, содержащей персональные данные, в информационной системе персональных данных;

4.8) контроль за принимаемыми мерами.

Раздел VIII. Обязанности и ответственность сотрудников Оператора

1) Сотрудники Оператора, допущенные к обработке персональных данных, обязаны:

1.1) знать и неукоснительно выполнять требования настоящей Политики;

1.2) обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

1.3) не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;

1.4) пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;

1.5) выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;

1.6) хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами Организации.

2) Работникам Оператора, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.

3) Каждый новый работник Оператора, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

4) Лица, виновные в нарушении требований законодательства РФ в области персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность.

Раздел IX. Заключительные положения

1) Действующая редакция Политики на бумажном носителе хранится по адресу: 127299,  г. Москва, ул. Космонавта Волкова, д.12, эт. 10, пом. XV, ком. 6.

2) Электронная версия действующей редакции Политики общедоступна на сайте Общества в сети Интернет.

3) При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.

4) Политика актуализируется и заново утверждается на регулярной основе, периодичностью раз в календарный год, не позднее 31 марта..

5) Политика может актуализироваться и заново утверждаться ранее срока, указанного в п. 4 настоящего Раздела Политики, по мере внесения изменений в нормативные правовые акты в сфере персональных данных или в локальные акты, регламентирующие организацию обработки и обеспечение безопасности персональных данных.

 

Согласие на обработку персональных данных

Пользователь (дееспособное физическое лицо, достигшее 18 лет/индивидуальный предприниматель/уполномоченный представитель юридического лица пользующееся сайтом АО «ЦНИИ «Электроника» www.instel.ru, www.spravochnikrep.ru) выражает согласие на обработку предоставляемых им персональных данных Оператору – АО «ЦНИИ «Электроника» (ОГРН 1027739065617, ИНН 7729033871) при соблюдении следующих условий:

Настоящим я, пользователь (дееспособное физическое лицо, достигшее 18 лет/индивидуальный предприниматель/уполномоченный представитель юридического лица пользующееся сайтом АО «ЦНИИ «Электроника» www.instel.ru, www.spravochnikrep.ru (далее – «Субъект персональных данных»), во исполнение требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) свободно, своей волей и в своем интересе даю свое согласие Оператору (АО «ЦНИИ «Электроника», ОГРН 1027739065617, ИНН 7729033871, далее – www.instel.ru/www.spravochnikrep.ru) на обработку своих персональных данных, указанных при регистрации/перерегистрации/авторизации путем заполнения веб-формы на сайте АО «ЦНИИ «Электроника»  www.instel.ru, www.spravochnikrep.ru и их поддоменов *.instel.ru, *.spravochnikrep.ru (далее – «Сайты»), направляемой (заполненной) с использованием Сайтов.

Под персональными данными я, как физическое лицо, понимаю любую информацию, относящуюся ко мне как к Субъекту персональных данных, в том числе мои фамилию, имя, отчество, контактные данные (телефон, электронная почта), иную информацию.

Под персональными данными я, как индивидуальный предприниматель, понимаю любую информацию, относящуюся ко мне как к Субъекту персональных данных, в том числе мои фамилию, имя, отчество, контактные данные (телефон, электронная почта), иную информацию.

Под персональными данными я, как уполномоченный представитель юридического лица, понимаю любую информацию, относящуюся ко мне как к Субъекту персональных данных, в том числе мои фамилию, имя, отчество, контактные данные (телефон, электронная почта), сведения об организационно-правовой форме и наименовании представляемого мною юридического лица, также сведения о ИНН/КПП юридического лица, платежную и иную информацию.

Под обработкой персональных данных я понимаю сбор, систематизацию, накопление, уточнение, обновление, изменение, использование, распространение, передачу, в том числе трансграничную, обезличивание, блокирование, уничтожение, бессрочное хранение), и любые другие действия (операции) с персональными данными.

Обработка персональных данных Субъекта персональных данных осуществляется исключительно в целях регистрации Субъекта персональных данных в базе данных АО «ЦНИИ «Электроника»  (www.instel.ru, www.spravochnikrep.ru) с последующим направлением Субъекту персональных данных почтовых сообщений посредством e-mail и СМС-уведомлений, в том числе рекламного содержания, от АО «ЦНИИ «Электроника», его аффилированных лиц и/или субподрядчиков, информационных и новостных рассылок, приглашений на мероприятия АО «ЦНИИ «Электроника» (www.instel.ru, www.spravochnikrep.ru) и другой информации рекламно-новостного содержания, а также с целью подтверждения личности Субъекта персональных данных при посещении мероприятий АО «ЦНИИ «Электроника».

Датой выдачи согласия на обработку персональных данных Субъекта персональных данных является дата отправки регистрационной веб-формы с Сайтов АО «ЦНИИ «Электроника» www.instel.ru, www.spravochnikrep.ru.

Обработка персональных данных Субъекта персональных данных может осуществляться с помощью средств автоматизации и/или без использования средств автоматизации в соответствии с действующим законодательством РФ и внутренними положениями АО «ЦНИИ «Электроника» (www.instel.ru, www.spravochnikrep.ru).

АО «ЦНИИ «Электроника» принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Субъекта персональных данных. АО «ЦНИИ «Электроника» вправе привлекать для обработки персональных данных Субъекта персональных данных третьих лиц, а также вправе передавать персональные данные для обработки своим аффилированным лицам, обеспечивая при этом принятие такими субподрядчиками и аффилированными лицами соответствующих обязательств в части конфиденциальности персональных данных.

Я ознакомлен(а), что:

1. настоящее согласие на обработку моих персональных данных, указанных при регистрации на Сайтах АО «ЦНИИ «Электроника» www.instel.ru, www.spravochnikrep.ru, направляемых (заполненных) с использованием Cайтов, действует в течение 20 (Двадцати) лет с момента регистрации на сайте АО «ЦНИИ «Электроника» www.instel.ru, www.spravochnikrep.ru:

2. согласие может быть отозвано мною на основании письменного заявления в произвольной форме;

3. предоставление персональных данных третьих лиц без их согласия влечет ответственность в соответствии с действующим законодательством Российской Федерации.

ВИДЕО ПО ТЕМЕ: Закон о персональных данных касается каждого

Вопросы защиты персональных данных в современных условиях от ситуации, поэтому использовать персональные данные лица в.